Il ransomware Bitcoin si diffonde ora tramite campagne di spam

Le aziende di sicurezza McAfee Labs e Symantec hanno lanciato l'allarme: un tipo di ransomware che richiede bitcoin, CTB-Locker, viene ora diffuso tramite campagne di spam.

Il malware, il cui nome sta per 'Curve Tor Bitcoin Locker', è stato identificato per la prima volta l'anno scorso. Tuttavia, l'approccio di distribuzione dello spam sembra essere uno sviluppo relativamente nuovo.

McAfee ha pubblicato il suoultimo avvisola scorsa settimana, descrivendo CTB-Locker come una forma di ransomware che crittografa i file sul computer di destinazione. Prove aneddotiche suggeriscono che i file immagine .jpg sono un bersaglio frequente. La vittima deve quindi pagare un riscatto per far decriptare i file.

Symantec ha affermato in un recente blog

che il processo di gestione del malware Cripto è "particolarmente sgradevole da gestire".

Come funziona

Durante l'installazione, CTB-Locker inietta codice dannoso nel file 'svchost.exe', creando un'attività pianificata per lo spostamento e la crittografia dei file.

Il malware crittografa i file compromessi utilizzando la crittografia a curva ellittica, che sembra equivalente alla crittografia RSA con una chiave a 3.072 BIT .

Una volta completata la crittografia, l'utente viene informato dell'attacco tramite un messaggio pop-up che richiede un riscatto.

Il messaggio mostra un conto alla rovescia di 96 ore. Se l'utente non paga il riscatto in Bitcoin entro 96 ore, la chiave di decrittazione viene distrutta e i file rimangono permanentemente crittografati.

Il pop-up consente all'utente di visualizzare l'elenco dei file crittografati, insieme alle informazioni su come effettuare un pagamento e ottenere il codice di decrittazione.

Vettori di rilevamento, infezione e propagazione

McAfee rileva CTB-Locker con tre nomi diversi: BackDoor-FCKQ, Downloader-FAMV e Injector-FMZ. Symantec identifica il payload finale come Trojan.Cryptolocker.E.

Il malware viene propagato tramite campagne di spam, come un archivio .zip memorizzato in un altro file .zip. Il file compresso contiene il downloader per CTB-Locker.

Finora, i ricercatori hanno scoperto i seguenti nomi utilizzati per memorizzare il downloader:

• malformato.zip
• pienezza.zip
• richieste.zip
• simoniaco.zip
• faltboat.zip
• incurabilmente.zip
• carichi utili.zip
• dessiatine.zip

Oltre alle normali pratiche di sicurezza (ad esempio: non aprire file .zip da fonti non attendibili), McAfee ha pubblicato una serie di raccomandazioni per mitigare la minaccia utilizzando i prodotti McAfee.

Il blog di Symantec offre inoltre informazioni utili su CTB-Locker per gli utenti dei prodotti di sicurezza Symantec.

Se le vittime non vogliono o non sono in grado di pagare il riscatto, non c'è praticamente modo di recuperare i file crittografati. Il modo migliore per ridurre l'impatto di un potenziale attacco ransomware Cripto è eseguire regolarmente il backup dei file preziosi.

Pop-up di CTB-Lockerimmagine tramite Symantec;Immagine spamtramite Shutterstock.